在ucenter的install文件夹中有一个lang.inc.php文件，利用这个文件就能对文件入侵，方法如下：     先上传一个图片（实际为木马伪装），然的访问lang.inc.php?session=start&code=assert&cms=images\bg.gif,假设上传的文件为bg.gif,上传目录为images. 这样就能对网站进行入侵了，所以为什么说安装完ucenter以后要把安装目录清空，原因就在这了。 ......

进入织梦后台，在核心-》内容管理-》普通文章-》添加文档，如下图所示： 在自定义文件名(高级参数里)：我们起一个文件扩展名为php的文件，文件名随意。把php代码添加到文章内容页面里（提示：可以利用文章标题等，任何不会对php代码进行过滤地方。），加什么，怎么添加，就看你随意发挥了。php文件发布成功后，我们就可以再近一步拿shell了。 类似的漏洞织梦后台还有好多，以上仅举一例。 ......

织梦后台上传php漏洞（一） 进入织梦后台，点核心-》网站栏目管理-》随便找一个栏目点更改 常规选项下的漏洞，如下图所示： 文件保存目录，默认页两个地方需要注意，例如我们把默认页的名称改成index.php。 高级选项下的漏洞，如下图所示： 文章命名规则和更表命名规则这两个地方需要注意，我们可以把文章命名规则改成aaa/{Y}{M}{D}/{aid}.php,也可以把列表命名规则改成{typedir}/list_{tid}_{page}.php 通过以上的设置，我们就可以发布一篇文章，生成一个php的文件。php文章的内容可以写入一句话木马等。有了这个，我们就可以进一步的拿取服务器的系统权限了。 类似的漏洞织梦后台还有好多，以上仅举一例。 ......

做过越来越多的网站以后，会经常遇到有人要求把用户的密码以明文方式保存，以方便他们查看检索。他们的理由是用户有时候会忘记密码，而且上网不太熟练，不会用邮件密码找回的功能。这样他们可以直接查看密码并通过电话把密码告诉给用户。当然这种方式是不太安全的，大家可能知道csdn明文密码泄漏的事件。但有时候这种要求有时候又不太好拒绝。从伦理和道德上，我们应该保护用户的数据安全。但直拒绝客户的要求也不太好，所以就要尽可能的去说服他们，可以告诉他们在后台能直接重置密码，在这种情况下，大部分客户会同意。但有的客户的目的不仅是为用户找回密码，而是为了直接看到用户设置的密码，这样对他们就说不通了，他们会说网站上也没有什么重要的数据，明文也无所谓，听起来好像有道理，实际现实生活中，用户在很多网站上用的是同一个密码，甚至他们的支付账号也是一样的，总是用人对安全重视不够，一个账号丢失，可能会让更多的账号受到威胁。如果非要满足他们直接查看密码的要求，也要尽量对密码进行一些简单的可逆的加密，当然不能采用通用的加密方法，加密法则应该有自己来确定，这样当数据库被黑，以确保密码不会很快的被破解，以留出时间来解决安全问题，但这样做仍会心理上感觉不舒服。 ......

1